セキュリティ人材獲得に向けた3つのアドバイス

This post is also available in: English (英語)

2019年も半ばをすぎましたが、サイバーセキュリティをめぐる状況はますますエキサイティングなものになってきています。2018年からの急伸、イノベーションを受け、サイバーセキュリティは、いまや大舞台で主役をつとめる一大分野へと成長をとげました。

そしてそのぶんだけ、キャリアとしてサイバーセキュリティの道を歩むことへの意識も高まってきています。様々な分野で働いてきた方々が、サイバーセキュリティ分野で働くことに興味を示しているのです。

• 「サイバーセキュリティの最大の課題って何だろう?」
• 「どこでどんな戦術やテクニック、手順を使えばいいんだろう?」
• 「サイバーセキュリティ分野でキャリアを築くにはどんなスキルや経験が必要なんだろう?」

こうしてサイバーセキュリティが生活の中心を占めるようになったいま、そこでキャリアを築く機会や興味も大きく広がっており、「組織のサイバーセキュリティ戦略に影響する職務に適切な人材を集めること」はビジネスの必須条件ともなっています。そこで、最高情報セキュリティ責任者(CISO)である私から「2019年版 サイバーセキュリティ人材獲得戦略 3つのアドバイス」をおおくりしたいと思います。

サイバーセキュリティ人材獲得に向けてCISOがおくる3つのアドバイス

• すばらしい人材を組織につなぎとめつつ、人材の裾野を広げよう。 すばらしい人材はすばらしい仕事と密接に結びついているものです。将来を見据え、組織への飛躍的貢献を目指すセキュリティ戦略があればこそ、そうした人材が戦略に深い共感を寄せ、すばらしい仕事をやりとげてくれるようになるのです。ですから、自社のセキュリティ戦略をじっくり精査してください。押さえておくべきポイントは、「その戦略はセキュリティ プラットフォーム構築という目的にかなうものか?」ということです。これを踏まえ、セキュリティプログラムによって実現できることの幅を極限まで広げるようにしてください。そうすれば、自社でもっとも優秀な人材が、業務にやりがいを感じながら取り組み、課題を解決したいというモチベーションを高く保ち、今日も仕事に行くのが楽しい、という気持ちをいだきつづけてくれることでしょう。

今後もサイバーセキュリティ人材不足はさらに深刻化し、組織に目に見える影響を及ぼしていくはずです。そのなかでも必要なスキルを備えた人材を確保し、目まぐるしく移りかわるビジネス環境とデジタルに根ざした生活を保護したいのであれば、人材というものをいまより広い視野で捉え、サイバーセキュリティ人材の裾野を広げるべきです。たとえば、この道に足を踏み入れたばかりの学生、転職を検討中の経験豊富なビジネスパーソン、次のトレンドを見つけようとしている起業家といった人たちも、セキュリティ人材として視野に入れるべきです。要するに、「サイバーセキュリティについて学びたい」という情熱があり、好奇心が旺盛な人を探そう、ということ。たとえその時点ではサイバーセキュリティのバックグラウンドや経験があまりなくてもです。

• 面接では、チームや自社文化にふさわしい人材かどうかを見極めよう。サイバーセキュリティは非常に複雑なものです。今後もその複雑さは増すばかりでしょう。そのなかでチームとしてすばらしい仕事をなしとげたければ、通常の人事プロセスにそって採用していたのではうまくいきません。サイバーセキュリティ人材の採用は、将来を左右する一大事です。ですから、面接では専門領域の知識を問う質問ばかりに終始しないようにしましょう。知識に関する質問からわかることは、せいぜい候補者のそれまでの経験だけです。むしろ、サイバーセキュリティが進化した先で、今後生じる課題をどう解決していくのか、候補者はこの点をきちんと把握できていなければいけません。そこで面接では、彼らがどのていど高度な問題解決能力を発揮してくれるか、そして皆さんが作ろうとしているサイバーセキュリティチームの文化にふさわしい人材であるかを見極めることを意図した質問を用意するべきでしょう。また、候補者が業務に熱心に取り組んでくれるような仕組みづくりも必要です。そうした仕組みをうまく回せば、適切な成果をもたらすことができるだけでなく、皆さんの作り上げるチームが今後どのような取り組みをしていくことになるかを「見える化」することができます。たとえば、サイバーセキュリティ人材の採用にあたっては、次のような質問をしてみるとよいでしょう。

• • どんなことをしているときにもっともやりがいを感じますか。
  • 何か問題が持ち上がったとき、どのような手順を踏んで解決に結びつけようとしますか、その流れを説明してください。あるいは、何か新しいことを始めようとするとき、そこにいたる手順をどのように具現化するかについて、説明してみてください。
  • いままで働いてきたチームのなかで、ご自身にとって一番居心地がよかったチームとは、どんなチームでしたか。
  • 攻撃者に先を越されないようにするめに、どんなことをしようと思いますか。

もちろんここでは「候補者の側も皆さんや皆さんの組織・企業を面接しているのだ」ということを忘れてはいけません。皆さんがどのようにサイバーセキュリティの世界に足を踏み入れ、そこでどのような課題に直面し、そうした課題をどう乗り越えてきたかについては、きちんと候補者に伝えられるようにしておくべきです。また、皆さんがこれまでに築き上げてきた (ないし、これから作り上げようとしている) チームの文化についても、候補者に伝わるようにすべきです。そうすることで、候補者も自身の将来の展望を描きやすくなるからです。たとえば『Cybersecurity Career Guide(サイバーセキュリティ キャリア ガイド。現時点では英語のみ、米パロアルトネットワークスサイトで無料で公開中)』を候補者と共有するのもよいでしょう。本ガイドには、サイバーセキュリティ業界のさまざまな仕事についている人々からのすばらしいストーリーが多数掲載されています。

• 強靭なサイバーセキュリティ文化を積極的に構築しよう。CISOとして職務に当たる人々は、今年度後半もおおいに増え続けることでしょう。必然的に、組織でのセキュリティ人材獲得やその取り組みについての優先度、そのためのリソース、認知度も上がることになります。なかには専任のセキュリティ担当者を一定数置くことはむずかしいという組織もあることでしょう。それでも、セキュリティリスクに関しての基礎知識は、そうした組織をもふくむすべての組織のエグゼクティブから一般社員にいたるまでの全員が備えておくべきです。なぜならサイバー脅威への対応を情報セキュリティチームに任せきりにして従業員と共有しない組織は、脅威への対応に失敗する可能性が高いからです。「組織内の特定個人やグループが強靭なサイバーセキュリティ文化を持っていればそれで十分」などということはありません。全員に積極的な当事者意識が必要なのです。セキュリティ意識を持ち、組織のリスク軽減にみずから責任を引き受ける心構えが必要なのです。

ところで、もっとも対応がむずかしい問題とは何かをご存知でしょうか。それは「自分がまだ知らない問題」です。こうした「未知の問題」を「既知の問題」に変えていくには、多様な視点、経験、職歴をもつ人々がともに働く環境を築きあげることが大事です。職場の多様性が明日生まれる問題を解決してくれるのです。ですから組織内では、職種をまたいだ人材活用や、ベストプラクティス、ヒントの交換を奨励しましょう。それによって、サイバーセキュリティ関連のプロセス、手順についての理解もより深まることでしょう。

サイバーセキュリティのリーダーとして専門家として、私たちはいま、職場・自宅・コミュニティで対話するすべての方々に、サイバーセキュリティについての理解を深めていただく千載一遇のチャンスにめぐまれています。そして、次世代のビジネスパーソンたちは、サイバーセキュリティ業界に転身する準備ができているのです。その方々を迎え入れる私たちの側も、引き続き彼らに積極的に働きかけ、現状を創造的に打破してもらうための準備を整えるべきでしょう。